NTLM Relay 攻击
NTLM Relay 攻击 是什么?
NTLM Relay 攻击一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
NTLM Relay 利用 NTLM 认证的挑战-响应机制。攻击者诱导受害主机向其控制的基础设施发起认证(例如通过 WebDAV、UNC 路径或 PetitPotam 类强制),再把受害者的 NTLM 消息转发到目标服务,例如 LDAP、SMB、ADCS Web 注册或 MSSQL。目标服务接受合法的挑战响应,并以受害者身份授予攻击者访问权限。由于过程不涉及明文密码或哈希,只有启用签名和通道绑定的协议才能阻止此类攻击。缓解措施包括强制 SMB 签名、LDAP 签名与 channel binding (EPA)、在可能时禁用 NTLM,并修补各种强制认证向量。Impacket 的 ntlmrelayx 是标志性工具。
● 示例
- 01
用 PetitPotam 强制域控制器认证,并将其 NTLM 转发到 ADCS 以获取 DC 证书。
- 02
将工作站的 NTLMv2 转发至启用了 xp_cmdshell 的 MSSQL,实现远程代码执行。
● 常见问题
NTLM Relay 攻击 是什么?
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。 它属于网络安全的 攻击与威胁 分类。
NTLM Relay 攻击 是什么意思?
一种中间人攻击 (MITRE T1557.001),攻击者将受害者的 NTLM 认证转发到另一服务,从而在不知密码的情况下冒充受害者。
NTLM Relay 攻击 是如何工作的?
NTLM Relay 利用 NTLM 认证的挑战-响应机制。攻击者诱导受害主机向其控制的基础设施发起认证(例如通过 WebDAV、UNC 路径或 PetitPotam 类强制),再把受害者的 NTLM 消息转发到目标服务,例如 LDAP、SMB、ADCS Web 注册或 MSSQL。目标服务接受合法的挑战响应,并以受害者身份授予攻击者访问权限。由于过程不涉及明文密码或哈希,只有启用签名和通道绑定的协议才能阻止此类攻击。缓解措施包括强制 SMB 签名、LDAP 签名与 channel binding (EPA)、在可能时禁用 NTLM,并修补各种强制认证向量。Impacket 的 ntlmrelayx 是标志性工具。
如何防御 NTLM Relay 攻击?
针对 NTLM Relay 攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
NTLM Relay 攻击 还有哪些其他名称?
常见的别称包括: NTLM relaying, T1557.001。
● 相关术语
- attacks№ 1057
SMB Relay 攻击
NTLM Relay 的一种特定变体,攻击者将受害者的 SMB 认证转发到另一台 SMB 服务器,以受害者身份获取代码执行或文件访问。
- attacks№ 620
LLMNR 投毒
一种中间人技术 (MITRE T1557.001),滥用 UDP/5355 上的链路本地多播名称解析协议,将受害者引导至攻击者控制的主机。
- attacks№ 715
NBT-NS 投毒
一种中间人攻击,利用 UDP/137 上的传统 NetBIOS 名称服务流量伪造名称应答,以捕获 NTLM 认证。
- attacks№ 924
Responder 攻击
利用 Laurent Gaffie 的 Responder 工具对 LLMNR、NBT-NS 和 mDNS 进行投毒,运行伪造认证服务,在本地网络中捕获或转发 NTLM 凭据的攻击。
- attacks№ 790
哈希传递攻击
一种凭据重用攻击,使用窃取的 NTLM 密码哈希而非明文密码,直接对 Windows 系统进行身份验证。